阿里雲IPv6 DDoS防護被工信部認定爲「網絡安全技術應用試點示範項目」

​​近日，阿里雲數據中心骨幹網IPv6 DDoS網絡安全防護被工業和信息化部認定爲「網絡安全技術應用試點示範項目」，本次評選由工業和信息部網絡安全管理局發起，從實用性、創新性、先進性、可推廣性等維度展開，阿里雲成爲惟一一家入選IPv6 DDoS防禦類項目的雲服務商。

響應國家號召，率先佈局IPv6

2019年，工信部簽發《工業和信息化部關於開展2019年IPv6網絡就緒專項行動的通知》，從網絡基礎設置、應用基礎設施、終端設施設備，到網站和應用生態，提出了明確的指標化任務，並對網絡的服務性能和安全性明確了目標要求。從軟件服務商到終端設備製造商，全部業務都要過渡到IPv6，顯然，普及IPv6已成爲國家戰略。

2018年，阿里雲就已建成國內首家IPv6 DDoS雲防護系統，支持秒級監控防護海量IP，並在護航全球最大在線購物狂歡節雙十一過程當中進行了大規模實戰。期間，IPv4和IPv6雙棧防護系統爲雲上客戶和阿里電商業務攔截5000屢次DDoS攻擊，成功保障雙十一的順利進行，驗證了阿里雲DDoS高防IP優秀的防護效果、成熟性和穩定性。

阿里雲IPv6 DDoS高防IP發展節點

在愈來愈多的企業過渡到IPv6協議的同時，安全問題也開始凸顯。2018年初，IPv6 DDoS攻擊已經開始在互聯網出現。而不少服務提供者尚未作好將安全防禦升級到IPv6的準備。2019年，應對好IPv6浪潮帶來的安全挑戰，將變得尤其重要。

對於互聯網服務提供者來講，重構、升級系統來支持IPv6協議下的安全防禦涉及到基礎設施建設、安全架構和體系的總體改變，成本較高，利用雲服務快速搭建基於IPv6的防禦體系更具備可行性。目前，阿里雲已經以產品化的形式提供IPv6防禦能力，助力企業作好新時代下的安全防禦。

IPv6 DDoS防護最佳實踐

對於互聯網服務提供者，業務過渡到IPv6通常須要考慮3個問題：

首先，保障現有的IPv4業務穩定運行，水平擴展IPv6服務，逐步將流量調度到IPv6。
其次，須要快速搭建出一個IPv6服務架構，快速具有能夠對外服務、知足政策要求、安全合規的IPv6服務。這其中須要考慮投資產出比，以合理成本、人力投入的狀況下部署IPv6服務，並儘可能不依賴後端大規模改造。
再次，作好服務和安全的可擴展和可演進性，以達到IPv4一樣的能力和規模，並可持續迭代。

使用阿里雲安全產品搭建IPv6服務能夠遵循如下最佳實踐：

1.改造雲下IPv4業務或改造前端接入網絡場景

• 域名解析層：使用雲解析DNS 進行IPv4/IPv6網站域名解析；
• 邊緣接入和加速層：使用IPv4/IPv6雙棧的CDN 對網頁靜態內容進行瀏覽加速；
• 網絡入口安全層：使用IPv4/IPv6的DDoS防禦包+IPv4/IPv6的WAF進行安全防護；
• IPv6<->IPv4轉換層：NAT 64服務轉換或使用WAF 以IPv4方式回源；
• 後端網絡：原有IPv4網絡和服務或雲下IPv4數據中心；

2.雲上全鏈路IPv6場景

• 域名解析層：使用雲解析DNS 進行IPv4/IPv6網站域名解析；
• 邊緣接入和加速層：使用IPv4/IPv6雙棧的CDN 對網頁靜態內容進行瀏覽加速；
• 網絡入口安全層：使用IPv4/IPv6的DDoS防禦包+IPv4/IPv6的WAF進行安全防護；
• 負載均衡層：使用IPv4/IPv6 SLB作負載分攤；
• 後端服務：使用IPv4/IPv6 服務器、存儲、緩存、數據庫搭建後端服務；

2019年，阿里雲將在新加坡、印度、美國等海外國家及地區上線IPv6產品，進行安全防禦，助力企業IPv6業務的全球化。將來，阿里雲將持續運用創新技術驅動更高等級的安全產品，爲百萬企業提供服務，解決多樣化的安全問題，實現普惠安全。​​​​

---

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。